信息化觀察網(wǎng)

本文由物聯(lián)網(wǎng)智庫整理發(fā)布，資料來源：互聯(lián)網(wǎng)，作者：Levin。原標(biāo)題：《美國竊密全球的主戰(zhàn)裝備被我國曝光！國產(chǎn)化和自主可控是應(yīng)對王道》。

導(dǎo)讀

美國中央情報局（CIA）專用的“蜂巢”惡意代碼攻擊控制平臺被曝光。

近日，國家計算機(jī)病毒應(yīng)急處理中心對“蜂巢”（Hive）惡意代碼攻擊控制武器平臺（簡稱“蜂巢”）進(jìn)行分析并發(fā)布了相關(guān)報告。

據(jù)悉，“蜂巢”是被曝光的美國通過網(wǎng)絡(luò)對全球進(jìn)行監(jiān)控竊密的又一個主戰(zhàn)裝備，由美國中央情報局（CIA）數(shù)字創(chuàng)新中心（DDI）下屬的信息作戰(zhàn)中心工程開發(fā)組（EDG）和美國軍工企業(yè)諾斯羅普·格魯曼旗下的XETRON公司聯(lián)合研發(fā)。目的主要是為了對全球進(jìn)行監(jiān)控竊密，旨在將全球互聯(lián)網(wǎng)和各地的重要信息基礎(chǔ)設(shè)施變?yōu)槊绹?ldquo;情報站”。

之所以被稱為“蜂巢”，是因為該平臺屬于“輕量化”的網(wǎng)絡(luò)武器，其戰(zhàn)術(shù)目的是在目標(biāo)網(wǎng)絡(luò)中建立隱蔽立足點，秘密定向投放惡意代碼程序，利用該平臺對多種惡意代碼程序進(jìn)行后臺控制，為后續(xù)持續(xù)投送“重型”武器網(wǎng)絡(luò)攻擊創(chuàng)造條件。

目前，已知蜂巢平臺可支持ARMv7、x86、PowerPC和MIPS等主流CPU架構(gòu)，覆蓋Windows、Unix、Linux、Solaris等通用操作系統(tǒng)，以及RouterOS等專用操作系統(tǒng)。

在國家計算機(jī)病毒應(yīng)急處理中心的報告中，指出了“蜂巢”具有的5大特點：

智能化程度高：可依托人工智能技術(shù)自動提高權(quán)限、自動竊密、自動隱藏痕跡、自動回傳數(shù)據(jù)，實現(xiàn)對攻擊目標(biāo)的全自動控制

隱蔽性強(qiáng)：惡意代碼程序被植入目標(biāo)系統(tǒng)并正常運行后，會處于靜默潛伏狀態(tài)，實時監(jiān)聽受控信息系統(tǒng)網(wǎng)絡(luò)通訊流量中具有觸發(fā)器特征的數(shù)據(jù)包，等待被“喚醒”

攻擊涉及面廣：針對不同CPU架構(gòu)和操作系統(tǒng)分別開發(fā)了功能相近的“蜂巢”平臺適配版本

設(shè)定有重點攻擊對象：從攻擊目標(biāo)類型上看，CIA特別關(guān)注MikroTik系列網(wǎng)絡(luò)設(shè)備

突防能力強(qiáng)：“蜂巢”平臺作為CIA攻擊武器中的“先鋒官”和“突擊隊”，承擔(dān)了突破目標(biāo)防線的重要職能，其廣泛的適應(yīng)性和強(qiáng)大的突防能力向全球互聯(lián)網(wǎng)用戶發(fā)出了重大警告

早在2017年時，在陸續(xù)公布CIA的網(wǎng)絡(luò)武器文檔“Vault7”后，維基解密再次曝光了新一輪的間諜文件“Vault 8”。在Vault 8的文檔中，就率先曝出“蜂巢”的源代碼及其開發(fā)日志。維基解密當(dāng)時就曾表示，該平臺可同時發(fā)動多項網(wǎng)絡(luò)攻擊行動，將不同的惡意軟件植入目標(biāo)設(shè)備，各國的網(wǎng)絡(luò)設(shè)備只要包含美國公司提供的硬件、軟件、操作系統(tǒng)等，就極有可能成為其攻擊目標(biāo)，全球互聯(lián)網(wǎng)上的全部活動、存儲的全部數(shù)據(jù)或都“如實”展現(xiàn)在美國情治機(jī)構(gòu)面前。

美國的大規(guī)模網(wǎng)絡(luò)攻擊已經(jīng)對全球發(fā)動了數(shù)次，而“蜂巢”平臺的曝光既不是第一個，也絕不會是最后一個。

命名迥異但目的相同，發(fā)起狠來連盟友也攻擊

數(shù)年前，由斯諾登透露的“棱鏡計劃”和維基解密，就揭開了美國利用網(wǎng)絡(luò)對多國持續(xù)進(jìn)行攻擊與控制的黑幕，轟動了全球。

而隨著中國對網(wǎng)絡(luò)安全領(lǐng)域的重視和技術(shù)升級，美國對他國進(jìn)行的隱秘網(wǎng)絡(luò)攻擊與控制也變得無所遁形，逐漸被曝光給大眾。

“電幕行動”（Bvp47）

今年2月，北京奇安盤古實驗室披露了來自美國“電幕行動”（Bvp47）完整的技術(shù)細(xì)節(jié)和攻擊組織關(guān)聯(lián)，這也是中國網(wǎng)絡(luò)安全研究員首次公開曝光來自美國“方程式”組織APT（高級可持續(xù)威脅攻擊）的完整技術(shù)證據(jù)鏈條。

“方程式”是隸屬于NSA的超一流黑客組織，“電幕行動”則是其制造的頂級后門，用于入侵后窺視并控制受害組織網(wǎng)絡(luò)。在肆虐全球的十多年中，“電幕行動”已經(jīng)入侵了包括中國、俄羅斯、日本、德國、西班牙、意大利在內(nèi)的45個國家和地區(qū)，涉及287個重要機(jī)構(gòu)目標(biāo)。其中，最“慘”的受害者莫過于日本，還被其用作跳板對他國的目標(biāo)發(fā)起攻擊。目前，中國至少有64個目標(biāo)受到入侵，主要分布在通信的基礎(chǔ)核心數(shù)據(jù)部門、知名大學(xué)及軍工相關(guān)單位。

圖：奇安盤古實驗室

報告顯示，“電幕行動”可以攻擊包括多數(shù)Linux發(fā)行版、AIX、Solaris、SUN等在內(nèi)所有操作系統(tǒng)，其高超的代碼混淆、隱蔽通信、自毀設(shè)計前所未見，體現(xiàn)出高超的技術(shù)性、針對性和前瞻性，入侵成功后，黑客組織可以在網(wǎng)絡(luò)空間里暢通無阻，隱秘控制下的數(shù)據(jù)獲取如探囊取物，在國家級的網(wǎng)絡(luò)安全對抗中處于絕對的主導(dǎo)地位。

Quantum（量子）攻擊平臺

在“電幕行動”被曝光一個月后，360針對NSA再次發(fā)布技術(shù)報告，完整揭露了Quantum（量子）攻擊平臺。

據(jù)悉，Quantum（量子）攻擊是NSA針對國家級互聯(lián)網(wǎng)專門設(shè)計的一種先進(jìn)的網(wǎng)絡(luò)流量劫持攻擊技術(shù)，主要針對國家級網(wǎng)絡(luò)通信進(jìn)行中間劫持，以實施漏洞利用、通信操控、情報竊取等一系列復(fù)雜網(wǎng)絡(luò)攻擊。有證據(jù)表明，NSA已經(jīng)利用這種技術(shù)持續(xù)對各國訪問臉書、Twitter、Youtube、亞馬遜等所有互聯(lián)網(wǎng)用戶發(fā)起了網(wǎng)絡(luò)攻擊。

“NOPEN”木馬工具

這個名為“NOPEN”的木馬工具是被國家計算機(jī)病毒應(yīng)急處理中心曝光，該工具是NSA的一款功能強(qiáng)大的綜合型木馬工具，也是對外攻擊竊密所使用的主戰(zhàn)網(wǎng)絡(luò)武器之一，相關(guān)泄露資料顯示該木馬已經(jīng)控制全球多國的計算機(jī)系統(tǒng)。

一段時間以來，中國網(wǎng)絡(luò)安全機(jī)構(gòu)和企業(yè)連續(xù)揭開了NSA網(wǎng)絡(luò)攻擊武器的真面目，而這些網(wǎng)絡(luò)武器多年來已被廣泛利用，造成了全球多國的網(wǎng)絡(luò)安全事件：

前中情局的職員稱，美國通過谷歌、微軟、蘋果等公司獲取大量情報，監(jiān)視了世界多個國家

利用與丹麥情報部門的合作，NSA竊聽了包括默克爾在內(nèi)的德國、法國、挪威、瑞典、荷蘭等歐洲多國政要短信和通話內(nèi)容

被曝光的美國“特等艙”項目顯示，美國在其近100個駐外使領(lǐng)館內(nèi)安裝監(jiān)聽設(shè)備，對駐在國進(jìn)行竊密

來自第五疆域的戰(zhàn)爭，可用“自主可控”應(yīng)對

自俄烏沖突爆發(fā)以來，美國等國家雖未派兵，但卻在網(wǎng)絡(luò)和信息技術(shù)等領(lǐng)域?qū)Χ砹_斯實施了大規(guī)模的制裁，甚至希拉里還揚(yáng)言道：“可以通過網(wǎng)絡(luò)攻擊俄羅斯的政府機(jī)構(gòu)，‘阿拉伯之春’的時候美國就干過，應(yīng)該盡可能地去復(fù)制這種成功。”

而為了有效應(yīng)對可能發(fā)生的各種網(wǎng)絡(luò)攻擊和戰(zhàn)爭，普京還簽署了總統(tǒng)令，宣布關(guān)鍵基礎(chǔ)設(shè)施部門在沒有授權(quán)的情況下，不得使用外國軟件；確保俄羅斯的國家互聯(lián)網(wǎng)基礎(chǔ)設(shè)施“RuNet”在不接入全球DNS系統(tǒng)的情況下都能無間斷正常運行；準(zhǔn)備未來對外國軟件實現(xiàn)完全禁用。

如今，網(wǎng)絡(luò)空間已成為國家在陸、海、空、天之后的“第五疆域”，與其他疆域一樣，網(wǎng)絡(luò)空間也要體現(xiàn)國家主權(quán)，保衛(wèi)網(wǎng)絡(luò)空間的安全就是保障國家主權(quán)的一部分。

對于中國來說，加強(qiáng)安全防護(hù)、應(yīng)對來自“不友好”國家的網(wǎng)絡(luò)攻擊，也變得越來越重要。在十八大之后，我國就提出了“要高度關(guān)注網(wǎng)絡(luò)空間安全”，后續(xù)還成立了中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組，標(biāo)志著我國網(wǎng)絡(luò)空間安全國家戰(zhàn)略已經(jīng)確立。

過去，很多領(lǐng)域的核心器件甚至整體設(shè)備與技術(shù)被國外所壟斷，“卡脖子”、“他控性”等受制于人而產(chǎn)生的問題已經(jīng)被大家熟知。而對這些問題的各種應(yīng)對方式里，國產(chǎn)化自主可控可以說是最為有效的方式。

按照Gartner的觀點，網(wǎng)絡(luò)安全包括信息安全、IT安全、OT安全、物理安全、IoT安全五個方面。而在IoT領(lǐng)域，GSMA的統(tǒng)計數(shù)據(jù)顯示，2010-2020年全球物聯(lián)網(wǎng)設(shè)備數(shù)量高速增長，復(fù)合增長率達(dá)19%，預(yù)測到2025年時全球物聯(lián)網(wǎng)設(shè)備（包括蜂窩及非蜂窩）聯(lián)網(wǎng)數(shù)量將達(dá)到約246億。

當(dāng)設(shè)備的數(shù)量達(dá)到百億級別時，設(shè)備之間互聯(lián)而產(chǎn)生的連接數(shù)則將成為天文數(shù)字，而每一個物聯(lián)網(wǎng)設(shè)備甚至每一條連接的邊，都有可能成為被攻擊的目標(biāo)。

不僅如此，隨著智能汽車、智慧城市、智慧醫(yī)療等涉及民生和公共服務(wù)的領(lǐng)域數(shù)字化和信息化的程度不斷提高，國產(chǎn)化和自主可控則可以降低被惡意攻擊和植入后門的概率，遇到問題和漏洞后也容易修補(bǔ)，信息安全也更容易治理。

寫在最后

美國是世界上最早成立網(wǎng)絡(luò)軍隊的國家，目前共有133支網(wǎng)絡(luò)作戰(zhàn)部隊，規(guī)模大約6200人，在2020年時已經(jīng)具備了作戰(zhàn)能力。

如果說過去的網(wǎng)絡(luò)攻擊還是不成規(guī)模的“小打小鬧”，那現(xiàn)在和未來，網(wǎng)絡(luò)安全領(lǐng)域的最大威脅就是具備國家背景的網(wǎng)絡(luò)軍隊和組織發(fā)起的大規(guī)模網(wǎng)絡(luò)戰(zhàn)爭，而且各種手段的演變速度和方式都遠(yuǎn)超常規(guī)意義上的戰(zhàn)爭。“蜂巢”平臺已經(jīng)展現(xiàn)了強(qiáng)大的系統(tǒng)功能、先進(jìn)的設(shè)計理念以及超前的作戰(zhàn)思想，具備統(tǒng)一指揮操控能力，已基本實現(xiàn)人工智能化。

除了關(guān)注網(wǎng)絡(luò)空間安全和使用自主可控的國產(chǎn)化設(shè)備之外，對于廣大的普通互聯(lián)網(wǎng)用戶來說，及時更新網(wǎng)絡(luò)設(shè)備、上網(wǎng)終端的操作系統(tǒng)，并及時打好補(bǔ)丁，同時關(guān)閉不必要的網(wǎng)絡(luò)服務(wù)和端口等，都是必要的網(wǎng)絡(luò)安全防護(hù)方式。

參考資料：

1.《美用“蜂巢”平臺監(jiān)控竊密，業(yè)內(nèi)人士：全球重要信息基礎(chǔ)設(shè)施成美“情報站”》，環(huán)球時報

2.《美國中央情報局（CIA）“蜂巢”惡意代碼攻擊控制武器平臺分析報告》，安全客

3.《360揭露美國NSA（APT-C-40）代表性網(wǎng)絡(luò)武器：超常規(guī)網(wǎng)絡(luò)“軍火”無所不用其極》，安全客

4.《從“NOPEN”遠(yuǎn)控木馬浮出水面看美方網(wǎng)絡(luò)攻擊裝備體系》，安天網(wǎng)絡(luò)安全

5.《Quantum（量子）攻擊系統(tǒng)–美國國家安全局“APT-C-40”黑客組織高端網(wǎng)絡(luò)攻擊武器技術(shù)分析報告（一）》，安全客

6.《自主可控是增強(qiáng)網(wǎng)絡(luò)安全的前提》，新華網(wǎng)